Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Un ransomware mal programmé devient incapable de déchiffrer les données des victimes
Après le paiement de la rançon

Le , par Michael Guilloux

20PARTAGES

4  0 
C’est déjà pénible de payer pour récupérer ses propres données après une « prise en otage » par des logiciels malveillants connus sous le nom de ransomware. Mais, c’est encore plus désagréable de devoir payer la rançon sans aucune possibilité d’avoir accès à nouveau à ses fichiers. C’est dans cette dernière situation que de nombreuses personnes ont probablement été, avec une nouvelle variante mal programmée du ransomware Power Worm.

Les développeurs de ransomware n’ont aucun intérêt à bloquer les fichiers de leurs victimes après avoir reçu la somme demandée. En effet, si le ransomware a la réputation de ne pas restaurer les données des victimes après le paiement de la rançon, cela garantit qu’aucun utilisateur ne va payer cette somme s’il sait qu’il ne pourra pas récupérer ses données. Pour cette raison, aussi malveillants qu’ils soient, les développeurs de ransomware prennent en général le soin de débloquer les données de leurs victimes, parce qu’ils ne percevront rien tant que ces dernières sont sures de ne pas avoir à nouveau accès à leurs fichiers. L’incapacité de ce nouveau malware à déchiffrer les données des victimes semble donc être le résultat d’une mauvaise programmation de son auteur, et c’est ce que l’analyse technique semble montrer.

BleepingComputer, qui a reçu l’échantillon du demandeur de rançons, l’a fait analyser par son équipe interne de chercheurs avant d’exposer l’erreur commise par le programmeur dans son code. L’objectif est de permettre à ce développeur de corriger la faille dans son code de sorte que ses prochaines victimes aient au moins la possibilité de récupérer leurs données.

Le ransomware est un script PowerShell de 54 lignes. Lorsqu’il est exécuté, il débute son infection en supprimant les clichés instantanés ou shadow copies des lecteurs, qui sont utilisés pour restaurer des fichiers. L’objectif est donc d’empêcher les victimes de les utiliser pour tenter une quelconque restauration. Il a ensuite recours à une commande PowerShell qu’il manipule pour obtenir la liste de lecteurs qui sont en écriture. Dans chacun de ces lecteurs, il va maintenant rechercher les fichiers de données ayant une certaine extension présente dans une longue liste prédéfinie. Les fichiers repérés sont ensuite chiffrés en utilisant une clé de chiffrement AES générée aléatoirement.

L’impossibilité de restaurer les données des victimes après le paiement de la rançon résulte d’une mauvaise programmation à cette étape. En effet, « le développeur avait prévu l’utilisation d’une clé AES statique pour l’ensemble de ses victimes », explique BleepingComputer. « Puisque tout le monde aurait la même clé de déchiffrement, cela permettrait au développeur d’avoir un déchiffreur qui pourrait fonctionner pour tout le monde plutôt que d’avoir à gérer un site de paiement complexe et un moteur de déchiffrement ». Lors de l’exécution du programme, un petit caractère ‘=’ manquant dans l'expression de la variable qui devrait contenir la clé AES décodée génère une clé aléatoire qui, malheureusement, n’est ni enregistrée ni transmise au développeur. La clé est donc perdue après que le script est exécuté.

« Le problème est que la clé AES n'a pas été correctement bourrée (padding) quand elle a été convertie en une chaîne base64. Lorsque le script PowerShell a essayé de décoder cette chaîne, il a échoué, et au lieu que la variable $RgDhcxSdghWd contienne sa chaîne AES décodée, elle contenait maintenant une valeur NULL ou vide. S’il avait ajouté un caractère ‘=’ de plus à la chaîne, cela aurait fonctionné comme prévu et tout le monde aurait eu la même clé AES », explique BleepingComputer.


Avec la valeur NULL, la tentative pour le développeur d’initialiser le moteur de chiffrement AES génère plutôt une clé aléatoire pour chaque victime, qu’il est en plus impossible de récupérer. Ce qui signifie qu’il n’y a rien qui puisse être fait pour que les victimes récupèrent leurs données, excepté une restauration à partir d’une sauvegarde, dans le meilleur des cas. Un simple test de l’infection aurait pu permettre de détecter cette faille, estime BleepingComputer.

Source : BleepingComputer

Et vous ?

Qu’en pensez-vous ?

Voir aussi

Forum Sécurité

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de aurelienbardon
Membre éclairé https://www.developpez.com
Le 12/11/2015 à 11:02
Je vois bien l'escroc rembourser ses victimes en s'excusant
4  0 
Avatar de ocalik
Membre régulier https://www.developpez.com
Le 12/11/2015 à 13:01
@Dasoft, ca va très vite, imagine que tu installe un programme (winrar par exemple), tu as le setup.exe qu'il faut lancer avec privilege admin pour l'installer.

Imagine maintenant que le setup est été modifié pour pouvoir lancer le script louche avant de lancer le réel installeur.

D'un point de vue utilisateur il installe simplement le logiciel qu'il voulait et les modifications systeme ne sont pas visible, c'est rare d'avoir un virus qui s'installe en cliquant sur JEVAISDETRUIRETAMACHINE.exe
3  0 
Avatar de Max Lothaire
Membre confirmé https://www.developpez.com
Le 12/11/2015 à 10:53
Du coup, on peut réclamer le remboursement ou pas ?
2  0 
Avatar de AoCannaille
Membre émérite https://www.developpez.com
Le 12/11/2015 à 12:12
Citation Envoyé par Jipété Voir le message
Et comment qu'ils vont faire, maintenant, les auteurs de ransonwares, pour faire payer leurs otages ? De la pub vantant les qualités de restauration de leurs produits, comme une vulgaire lessive ou un shampoing ?
ah lala, on vit une époque...
Ou une version d'essai : le ransonware propose de restaurer un fichier et un seul
2  0 
Avatar de SurferIX
Membre chevronné https://www.developpez.com
Le 19/11/2015 à 11:27
Citation Envoyé par DarkBakura Voir le message
Déjà qu'il faut être un sacré co***** pour adopter ce genre de pratiques, si en plus c'est fait par des incompétents...
C'est décidément gonflant de vivre dans un monde où traine toujours ce genre de pourritures prêtes à tout pour se faire de l'argent.
Moi ce qui m'a toujours choqué, c'est que des gens pareils puissent avoir le temps de rouler des personnes.
Bordel il y a bien un versement qui doit être fait, non ?
Les polices du monde entier peuvent tout de suite voir où, non ? Paypal, banque etc, c'est instantané !
Alors comment ça se fait que non seulement ils ont le temps de mettre en place leur truc et en plus de ne jamais être arrêtés ? COMMENT ?
Même chose pour les appels automatiques en France qui font sonner le téléphone, et raccrochent immédiatement. On rappelle, on a un message du style "vous avez un message très important, rappelez le 08xxx" -> appel surtaxé. Comment se fait-il que ces gens puissent voler les autres avec une telle impunité ? Normalement : une plainte, une vérification là où il faut, et si c'est pas dans les règles, on prend les coordonnées de la société, on sait où le monsieur habite, on va le chercher ! Ok je schématise un peu, mais pas tant que ça, et ce système qui ne fait rien me dépasse totalement voire me dégoûte...
1  0 
Avatar de kurkcobain
Futur Membre du Club https://www.developpez.com
Le 19/11/2015 à 22:52
Citation Envoyé par Dasoft Voir le message
Faut pas être futé non plus pour exécuter un script PowerShell qui demande obligatoirement une élévation Admin pour certaines commandes et si ce script est exécuté à distance (par un programme par exemple) c'est également refusé par défaut ! alors pourquoi accepter d'exécuter un script super louche ?
Toi tu voit cette histoire à travers t'es yeux de programmeur. La plupart des internautes ne comprennent rien aux droits d'accès. Ils ne savent pas que tel extension est un exécutable ou un simple fichier. Ce ne sont pas les initiés qui sont les cibles de ces attaques, mais bien tout les autres (et ils sont nombreux)
1  0 
Avatar de DarkBakura
Membre actif https://www.developpez.com
Le 12/11/2015 à 10:15
Déjà qu'il faut être un sacré co***** pour adopter ce genre de pratiques, si en plus c'est fait par des incompétents...
C'est décidément gonflant de vivre dans un monde où traine toujours ce genre de pourritures prêtes à tout pour se faire de l'argent.
0  0 
Avatar de hotcryx
Membre extrêmement actif https://www.developpez.com
Le 12/11/2015 à 10:21
haha il fallait s'en douter.
Essayant de créer un petit outil d'encryption, on peut vite perdre les clés
0  0 
Avatar de Traroth2
Membre chevronné https://www.developpez.com
Le 12/11/2015 à 11:24
En même temps, ce n'était qu'une question de temps avant qu'un truc comme ça ne se produise. Cette partie du ransomware n'est pas la plus importante pour les criminels, si on y pense.
0  0 
Avatar de benjani13
Membre extrêmement actif https://www.developpez.com
Le 12/11/2015 à 11:33
Citation Envoyé par Traroth2 Voir le message
Cette partie du ransomware n'est pas la plus importante pour les criminels, si on y pense.
Si cette partie est importante, pour fidéliser le client

Si le déchiffrement marche après paiement, l'utilisateur peu prudent va peut être se faire infecté une seconde fois, et repayer (sachant que ça marche).
0  0